הרשם שאלות ותשובות רשימת חברים לוח שנה הודעות מהיום

חזור   הוסטס - פורום אחסון האתרים הגדול בישראל > Hosting ושירותים נלווים > תחזוק שרתים ושירותי רשת נוספים

   
|!|

השב
 
כלים לאשכול תצורת הצגה
ישן 05-07-15, 06:13   # 1
Jonathan Zeierman
חבר וותיק
דירוג מסחר: (0)
 
מיני פרופיל
תאריך הצטרפות: Jun 2007
הודעות: 1,003

Jonathan Zeierman לא מחובר  

חסימת גישת ROOT

היי חברים,
קראתי באינטרנט קצת ולפי מה שהבנתי שמומלץ לחסום את הגישה הישרה לRoot ע"י עריכה של:
קוד:
/etc/ssh/sshd_config
קוד:
PermitRootLogin = no
וליצור משתמש רגיל ופשוט להשתמש ב- sudo.
החשש הוא שרובטים כנראה יסנו לתקוף את השרת עם סיסמאות כלומר: ssh root@$IP בסגנון הזה.
לשרת שלי אני מתחבר עם SSH KEY, מישהו יכול לשפוך אור על הנושא?
למה כן לבטל את הגישה ומהי הדרך הנכונה לבצע?
תודה.
__________________
יונתן.
אימייל: jonathan@zeierman.net
  Reply With Quote
ישן 05-07-15, 10:58   # 2
OMG
עסק רשום [?]
דירוג מסחר: (0)
 
מיני פרופיל
תאריך הצטרפות: Apr 2012
הודעות: 119
Send a message via Skype™ to OMG

OMG לא מחובר  

היי ג'ונתן.
בין אם תשתמש ב sudo או su , כחלק מהרצון תמיד להגן על השרת בדרך הטובה ביותר, ישנם מספר דרכים לבצע חסימות.

באבטחה של גישה לשרת ה Best practice תמיד:
1. שימוש בפורט SSH לא דיפולטיבי (ברירת מחדל 22 )
2. חסימה ברמת Firewall לפורט SSH ולאפשר גישה רק עבור ה IP הקבוע שלך במידה ויש לך, או לחילופין לעבוד עם firewall בעל ניהול Web ולאפשר את האייפי שלך ידנית כל פעם שתרצה להתחבר.
3. חסימת התחברות ישירה למשתמש root , מכיוון שכל BOT ינסה תמיד לנחש סיסמאות עבור משתמש root מומלץ ליצור משתמש בעל שם לא קבוע ( jonathan ) , להוסיף אותו לרשימת AllowUsers לאחר שאתה מוודא שאתה אכן יכול להתחבר איתו
ולבצע החלפת משתמש לרוט ( su root ) מומלץ לחסום את ההתחברות הישירה של משתמש root.
4. ביטול התחברות באמצעות סיסמא ( PasswordAuthentication ) ולעבור להתחברות באמצעות מפתחות ( PubkeyAuthentication ).

זה בגדול, תמיד יש איפה להשתפר
  Reply With Quote
ישן 05-07-15, 16:40   # 3
Tomer
Whatever
דירוג מסחר: (0)
 
Tomer's Avatar
 
מיני פרופיל
תאריך הצטרפות: Oct 2005
הודעות: 7,039
שלח הודעה באמצעות MSN אל Tomer Send a message via Skype™ to Tomer

Tomer לא מחובר  

OMG, ההמלצות שלך נכונות, מלבד ההמלצה הראשונה - לא רלוונטי להחליף פורט, ניתן לעלות על זה בקלות עם nmap.
__________________
תומר
  Reply With Quote
ישן 05-07-15, 16:41   # 4
Jonathan Zeierman
חבר וותיק
דירוג מסחר: (0)
 
מיני פרופיל
תאריך הצטרפות: Jun 2007
הודעות: 1,003

Jonathan Zeierman לא מחובר  

היי
תודה על התגובה!
1. קראתי באינטרנט ששינוי הפורט כבר לא רלוונטי.
2. על איזה פירוול היית ממליץ? CSF? יש לי IP קבוע.
3. אני מתחבר באמצעות מפתחות public key ולא דרך סיסמה.
4. מצאתי דרך שברגע שאתה עורך את:
קוד:
/etc/ssh/sshd_config
ואז:
קוד:
PermitRootLogin without-password
בעצם מבטל את האפשרות לנסיון דרך סיסמה והשרת זורק אותך אם אין לך KEY.
דרך פעולה טובה? או שעדיף ליצור משתמש ולתת לו הרשאות לsu/sudo?
__________________
יונתן.
אימייל: jonathan@zeierman.net
  Reply With Quote
ישן 05-07-15, 17:01   # 5
kolin
חבר חדש
דירוג מסחר: (0)
 
מיני פרופיל
תאריך הצטרפות: Mar 2015
הודעות: 17

kolin לא מחובר  

CSF מומלץ עדיין. עדיף ליצור משתמש עם הרשאות מוגבלות לא כמו רוט. ולתת sudo.
  Reply With Quote
ישן 06-07-15, 18:27   # 6
Talbo
חבר על
דירוג מסחר: (0)
 
מיני פרופיל
תאריך הצטרפות: Apr 2007
הודעות: 776

Talbo לא מחובר  

ציטוט:
נכתב במקור על ידי Jonathan Zeierman צפה בהודעה
היי
תודה על התגובה!
1. קראתי באינטרנט ששינוי הפורט כבר לא רלוונטי.
2. על איזה פירוול היית ממליץ? CSF? יש לי IP קבוע.
3. אני מתחבר באמצעות מפתחות public key ולא דרך סיסמה.
4. מצאתי דרך שברגע שאתה עורך את:
קוד:
/etc/ssh/sshd_config
ואז:
קוד:
PermitRootLogin without-password
בעצם מבטל את האפשרות לנסיון דרך סיסמה והשרת זורק אותך אם אין לך KEY.
דרך פעולה טובה? או שעדיף ליצור משתמש ולתת לו הרשאות לsu/sudo?
ציטוט:
נכתב במקור על ידי kolin צפה בהודעה
CSF מומלץ עדיין. עדיף ליצור משתמש עם הרשאות מוגבלות לא כמו רוט. ולתת sudo.
היי ג'ונתן, במידה ואכן כתובת ה-IP שלך סטטית, אין צורך בהתקנת Firewall צד שלישי.
ניתן להשתמש בiptables כך שיאפשר אך ורק ל-IP ספציפי להתחבר לשרת בפורט 22.

מצרף לך פקודה לדוגמה כאשר 1.1.1.1 מתחלף ב-IP שלך:
קוד:
iptables -I INPUT -p tcp -s 1.1.1.1 --dport 22 -j ACCEPT
כמובן שהפוליסה "INPUT" צריכה להיות במצב של DROP.
* שים לב שכאשר הפוליסה "INPUT" במצב DROP היא תפיל כל פאקטה מלבד החוקים המאושרים. ממליץ מאוד לקרוא על iptables לפני.

קוד:
iptables -A INPUT -p DROP
שים לב להריץ את הפקודה הנ"ל רק לאחר שהבנת את השימוש שלה כדי להימנע ממצב של נעילה מחוץ לשרת.

צור איתי קשר אם אתה צריך עזרה
בהצלחה.
__________________
טל.

מטהאפלואד | MetaUpload
  Reply With Quote
ישן 07-07-15, 22:30   # 7
Rhost
עסק רשום [?]
דירוג מסחר: (0)
 
מיני פרופיל
תאריך הצטרפות: Jun 2011
מיקום: הוד השרון
הודעות: 571
Send a message via Skype™ to Rhost

Rhost לא מחובר  

תומר אני חולק איתך על להחליף פורט לדעתי זה דבר כדאי מאוד, יש הרבה ברוט פורס שפשוט סורקים על פורט 22 זה שאתה משנה את זה לפורט אחר מבטל בערך 90% רוטקיטים למניהם.
__________________
Global Net Access | www.Rhost.biz | Europe & USA Data Centers
Domains | Certificates | Web Hosting | VPS | Enterprise Solutions
  Reply With Quote
ישן 08-07-15, 11:40   # 8
דניאל
מנהל ראשי
דירוג מסחר: (0)
 
מיני פרופיל
תאריך הצטרפות: Oct 2005
מיקום: ראשון לציון
גיל: 40
הודעות: 6,503
שלח הודעה באמצעות MSN אל דניאל

דניאל לא מחובר  

אני מסכים עם תומר וחולק על מי שחולק עליו.
גילוי פורט הוא פעולה שלוקחת 30 שניות, גם אם שינית אותו.

הדרך להתגבר על bruteforce בשיטה הטובה ביותר היא פשוט לחסום את הגישה ב-FW לכתובות IP ספציפיות, בטח לא לשנות פורט.
__________________
דניאל
דוא"ל:
dannyg@sPD.co.il

sPD Hosting בע"מ | אחסון אתרים | בלוג אחסון אתרים
טלפון להזמנות: 1-599-559977
  Reply With Quote
ישן 08-07-15, 18:04   # 9
Rhost
עסק רשום [?]
דירוג מסחר: (0)
 
מיני פרופיל
תאריך הצטרפות: Jun 2011
מיקום: הוד השרון
הודעות: 571
Send a message via Skype™ to Rhost

Rhost לא מחובר  

כיום יש ברוט פורסים מתוכחמים שיכולים להריץ לך ברוט פורס מכמה וכמה כתובות אייפי החסימה שאתה עושה מפיירוואל עד שזה יחסום עדיין יש סיכוי להריץ על השרת שלך מאות אלפי סיסמאות , וכל זה באופן אוטומטי מרוטקיט, לפני סריקת ברוט פורס הבוט סורק עם קיים פורט 22 פתוח ורק אז הוא סורק את האייפי אבל עם שינית את הפורט הוא פשוט מדלק עליך.
ואם יש אופציה לשנות את הפורט ועוד בפעולה מאוד פשוטה אני לא רואה סיבה לא לשנות את הפורט.

ועוד דבר אם קיימים לשרת אחד כמה כתובות אייפי תמיד כדי לשים אייפי רק בשביל ssh ולא להשתמש בו לשירותים אחרים.
__________________
Global Net Access | www.Rhost.biz | Europe & USA Data Centers
Domains | Certificates | Web Hosting | VPS | Enterprise Solutions
  Reply With Quote
השב

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)
 


חוקי פירסום
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is מופעל
סמיילים הם מופעל
[IMG] קוד מופעל
קוד HTML מכובה

קפיצה לפורום


כל הזמנים הם GMT +2. הזמן כעת הוא 05:19.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ